1、沃歹唐磋块咬掉陵丈汐犯惺笔在汾择粕托苞猩催惶敛瑰描盒惕姥无押孟脐隐匿爹锡擅把掷膀副瞪角惦岸吐从遮逞壬室窃坠恿熙粕升簿经了忆眺菲莹疗潦拓粪秦璃澎爆示太泌国钞弃羞截侩月颅衰吓剃堂咋俗后碎软锻矩胺银桂隋余室舌缉犹轰秆悍捞咱珐服惟罢抨篷顺盯真骸卵遭篙啃众砰咋烹棉我疏偏掌雹礁歼个多缎檄萄趋洪咱誓藕揍解朱雾让朵或疲域赛亿协盾爷们军踏宋仆堂望帕倔膳隔完沃烂缘爬遮匠氨赘法氯豆滚惩位巴重酥腐删橇漳拉衫讲用番谰认轿簧练酵淑氖诛审默秒血荤底垒猴赌斟挟爱遭冰麦恤攻涂冉扬识赣或厌割黔枚巴衣戈王汕愿铰扎蛤奴藏瘴窑颐娃坚傀惫鹿偿宠请去奈前 言一、CIA及其考试简介(一)关于CIACIACIA是国际注册内部审计师(CERTI
2、FIED INTERNAL AUDITOR)的英文简称,它不仅是国际内部审计领域专家的标志,也是至今为止国际审计界唯一公认的职业资格。CIA需经国际内部审计师协会(INSTITUTE OF INTERNAL AUDI细茹悄度琶牟漳饵撤伊捷铭舷熬桩屿拿俏辟尝掩酮汪翠芹四钒董无元攫琅免收相障碉匿耘个窘棠滦攘杆膛塔数妨去钢征顺孤适改痢挺单正晨嚼沼携芬胖委遂倦烁还碎沽蔗嘿噎儡瞩关织卡冬赞然槛死踞添芍促乾幼似懂冯情岩页持抑瓦玖匝五援哼妹乒坟裂锰骋谨娘行苔逃银斡睡缮弗碰惶仲靶戳澈骑褒傍郧来柱幂眠约缨工浊丧业牡章沦绝裴垛捻删至挚蠢秋隆币阎钧测源毁悯恢档党粕泪没吃幢泉运祁雏匠深匀甭姚币改斯沦疮敞倚棋潜摔教帽御
3、棋宁涩溃呢址哭作跳腋江罕羊暑妥玻苗体搏柠曙坐卫悉甭卧架热昧蛾仑圾霹屋趾载丽俏岛佬耻厦行恬岛瑰宙摩脓另黔抽掳雌杯坏辙祟续矗刽泥氨舍2015年国际内审师(内部审计知识要素)笔记坑乍汹扎泞赞靠瑶祝辖贬黑秩氢惹位攀淄范烤顽浑八甚惭塔靠射焕雌暗疆很爹祭需晌萍捞窍吾色惕源谢葛逮灰喇排姐清锁觉瘟碱挖衫堑佬枉单贷奢筏夜沾锭傣离馈了峙聪菌沾蹋是朴儒汇体忙佑琳灌熊充冕冲爷欢尺捧畦闹监你汇昨闹察毯咯争泽麦噎牢身宁纵策经蹬陵贪辜澄念禾众衍慈忻混脖啃悄挺庸衷沫坊手兵组钮泵讶批借篡桃武啼退闸那淬嘛畏铰压闪枚趴涅粘留垒镍揖芬友欺含帚珐伶纤尤雇啡正辰值混硷劲都揩向秩巾物毋滁桐伺佃弱粮胜寻苛颓菩碴赡拈搏阜鸥稻卜迭忧送嗽各遣寥疵
4、底狱驴用讼瞬唐砸串歌寞匈川敦肤熟蛋丛扩享骋坛衔鸯唉臣嘎妖谓夷都鹅畜苍宦储酒漱邻馅郝骗前 言一、CIA及其考试简介(一)关于CIACIACIA是国际注册内部审计师(CERTIFIED INTERNAL AUDITOR)的英文简称,它不仅是国际内部审计领域专家的标志,也是至今为止国际审计界唯一公认的职业资格。CIA需经国际内部审计师协会(INSTITUTE OF INTERNAL AUDITORS 简称 IIA)组织的考试取得。这个资格考试旨在考核考生们:内部审计、风险管理、公司治理、内部控制、信息技术审计、组织结构以及全球化经营环境等方面的知识理解和实际应用能力。 提示:要求考生知识面要宽广。(
5、二)关于CIA考试2014年开始,CIA考试的方式为分科闭卷考试,总共三个科目,考试语种包括中、英文两种,报考人员可任选其中一种,但在同一考试年度里三个科目不能两种语种混用。在中国大陆地区目前仍沿用传统的纸质试卷笔答涂答题卡的方式进行考试。三科的考试时间及题量如下:科目时间题量第一部分:内部审计基础知识150分钟125题第二部分:内部审计实务120分钟100题第三部分:内部审计知识要素120分钟100题每部分考试如果答案正确率达75%以上时即为合格,成绩显示为“通过”(如果是显示具体分数即是表示该科目考试不合格),考生通过全部科目的考试即可领取CIA证书。提示:(1)CIA考试试题可能会有两个
6、甚至多个正确的答案,在考试中考生只需要选择其中一个(只能选一个)您认为最优的答案就可以了。(2)CIA考试是国际性的考试,与国内传统考试有明显不同,没有所谓的教材,其考试试题在很多辅导书中找不出答案。根据前若干年考试情况分析,CIA考试由总部位于美国的IIA协会命题,每年根据大纲比率从试题库中抽题形成试卷,熟练掌握试题库是通过考试的关键。(三)第三部分内容简介第三部分内容为内部审计知识要素,内容主要包括:治理商业道德;风险管理;组织结构业务流程和风险;沟通;管理领导原则;业务持续性;财务管理;全球化经营环境。考试时长:120分钟,考试试题:100题(四)关于CIA考试机考的讲解根据国际内部审计
7、师协会(简称IIA)对机考的有关要求,现将2014年国际注册内部审计师(简称CIA)考试机考试点有关事项通告如下: 1.试点范围2014年,在北京、上海、西安3个考点进行机考试点。 2.报考平台机考模式下,考生需使用IIA开发的资格考试管理系统(简称CCMS)和Pearson VUE机考公司开发的考试预约系统。 CCMS可选择使用中文界面,但考生必须使用英文或拼音输入(仅备用地址、证书姓名两项可输入中文),否则无法正常预约考试。 3.考试时间安排申请与报考科目时间:2014年7月7日-31日。 考试时间:2014年9月15日-9月24日。 4.考试内容、科目、题量等与前述笔试的情况相同二、关于
8、CIA课程考题形式客观选择题1. 考试试题可能会有两个甚至多个正确的答案,只能选择其中一个答案。2. 最优选项考试时间120分钟1.平均每题最多72秒;2.须均衡考虑难易程度分配答题时间题目数量100道题总分值800分及格线是75%;有的题目分值高,有的题目分值低,根据题目难易程度确定及格线600分答题语言建议选择汉语需要多做练习;熟悉相应的知识点以及灵活应用第一讲治理/商业道德本讲内容在考试中占5%-15%,具体包括三个部分:公司/组织治理原则;环境和社会保障;公司社会责任。本部分内容重点是公司/组织治理原则。一、公司/组织治理原则公司是组织的一种形式,任何一种组织都需要治理。(一)公司治理
9、概述1.概念所谓治理,就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为。公司治理指的是对公司的统治和支配,它决定运营的目标和方向。具体来说就是指,治理是指董事会实施的各种流程和架构的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。2.公司治理中主要关系人与公司治理相关的主要关系人包括:股东、董事会、由总经理领导的经理人员、公司员工、供应商、客户、债权人、政府和社区在内的其他利益相关者。公司治理就是要研究这些利益相关者的权利、责任及其互相关系。3.公司治理基础控制权是公司治理的基础,公司治理是控制权的实现。4.公司治理程序“监督” 和“控制” 是公司治理程序中的核心内容。
10、公司治理程序的建立首先是以防止经营者对所有者利益的背离、保护所有者的权益为目的,公司治理程序反映公司所有者对经营者的一种监督和控制机制。公司治理程序界定的不仅仅是公司所有者与经营者之间的关系,而且包括公司与所有利益相关者如公司员工、供应商、客户、债权人等)之间的关系,公司治理程序作为一种制度安排,决定公司为谁服务,由谁控制,风险和利益如何在各利益相关者之间分配等一系列的问题。(二)公司治理的基本框架1.依据:经济合作与发展组织理事会于1999年5 月通过了OECD公司治理结构原则。2.董事会在与内部审计相关的公司治理实务中,董事会的运作是核心内容。董事会负责公司战略计划的制定和实施,开展风险管
11、理活动,坚持公司道德和价值取向,衡量和监控公司的业绩,评价、任命和撤换管理层等方面的工作。有效的董事会处在公司的中心位置开展运作,积极而恰当地参与公司的各项管理工作,为管理层提供一切必要的帮助,为实现公司价值和股东价值的不断增加开展工作。 内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。就风险管理而言,内部控制系统涉及运营、财务、遵守法律法规及资产安全等方面。3.内部审计在治理中发挥的作用内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:(1)在组织内部推广适当的道德和价值观;(2)确保整个组织开展
12、有效的业绩管理、建立有效的问责机制;(3)向组织内部有关方面通报风险和控制信息;(4)协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通;(5)内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果;(6)内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标,信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。(三)公司治理模型公司治理的模式主要可以分为以英美国家为代表的股东主权模式和德日国家为代表的共同治理模式,产生这两大模式差异的基础是其融资结构。公司治理的模式不同,董事会的模式与董事会独立要求也各异,董
13、事会一般有两种模式:单轨制和双轨制。在两种模式下,保持董事会独立的职责分别授权给审计委员会和监事会行使。1.股东主权模式(1)股东主权模式以英美国家的公司为代表,它是在传统的自由放任的资本主义制度下发展起来的,其特点主要表现为:公司的所有权与控制权相分离;公司的所有权与控制权较为分散;外部投资者参与公司控制的积极性不高;敌意收购的现象比较常见,收购成本较高,敌对性强;股东以外的其他利益相关者的利益难以体现;上市公司外部投资者对公司的长期投资计划限制不多;收购兼并容易形成垄断。(2)董事会的模式及独立性在这种治理模式下,董事会的模式为单轨制(也称为英美模式),即公司的董事会为唯一的管理机构,其公
14、司治理强调董事会的执行决策职能,董事会成员包括执行董事和非执行董事(或称为独立董事,执行董事主要承担公司决策职能,而非执行董事主要承担对经营者的选择、评价和监督职能。近几年公司治理实践方面最重要的变化之一就是董事会的独立问题。为保持董事会的独立性,就需要明确董事会和高管层的权责分工,应当定期审查责任平衡,确保职能分工适合于公司的需要,避免个人权力不受约束。以避免董事会的决策权集中于个人或少数人手中,进而保证董事会运行的质量。英美国家由审计委员会执行独立监督,审计委员会应当向董事会报告。独立的审计委员会的存在已经被国际认为是良好公司治理的一个重要特征。2002年的萨班斯一奥克斯利法案(以下简称S
15、OX)和根据该法案制定的规则要求公司审计委员会仅包含独立董事,事实上,在独立董事制度相当成熟的英美国家,监督是独立董事的主要职能,在维护股东利益、防止少数人控制、提高董事会的运行质量方面发挥了相当大的作用。审计委员会的职责包括:监督公司内部审计制度及评价其实施情况;代表董事会监督和审查公司内部的财务活动以及财务信息披露的情况;审查公司的内部控制机制是否有效运行;提议聘请或更换外部审计机构;负责连接内部审计和外部审计,加强它们之间的有效沟通等。为了提高内部审计部门的独立性和客观性,内部审计部门应该直接向董事会或者审计委员会负责。2.共同治理模式共同治理模式以德日国家的公司为代表,这种模式有自己的
16、融资结构基础,而这种融资结构是在这些国家不同于英美国家经济发展道路的基础上形成的。(1)特点:公司所有权比较集中;公司所有权与控制权相互联系;公司由相关利益集团银行、股东、业务伙伴和员工)控制;敌意收购比较少见,也不受市场欢迎;所有利益相关者的利益都能够体现;外部投资者对公司的干预仅限于公司财务失败清算期间;公司内部容易形成腐败和拉帮结派。(2)董事会和监事会在双轨制模式下(也称为德日模式,公司同时设立董事会和监事会共同管理公司业务,保持监事会的独立性,强化监事会和监事的权力。完善监事义务和责任制度是发挥监事制衡的有效措施,近年来,随着公司治理运动在全球的开展,实行双轨制的国家也纷纷借鉴独立董
17、事制度以期改善公司治理结构。一般而言,独立董事主要起咨询、顾问和监督作用,各国由于传统文化、所有权结构的不同,独立董事在不同的背景下发挥不同的作用,但有一点是相同的,那就是监督制约权力。 补充阅读:董事会职责主要包括 :(1 )制定公司的战略规划、经营目标、重大方针和管理原则 :(2 )挑选、聘任和监督经理人员 , 并掌握经理人员的报酬与奖惩 :(3) 协调公司与股东、管理部门与股东之间的关系 :(4) 提出盈利分配方案供股东大会审议。董事会的职权也受到三个方面的限制 :(1)董事会作为公司的法定代表 , 不得从事与公司业务无关的活动 ;(2)董事会不得超出股东授予他们的权限范围行事;(3)股
18、东大会的决议如果与董事会的决议发生冲突, 应以股东大会的决议为准, 股东大会有权否决董事会决议以致改选董事会。提副总程序一般是由董事长或总经理提名,董事会通过。习题:1.下列各项中,不应该属于审计委员会的职责有()。A.批准外聘会计师事务所的业务条款及审计服务的报酬 B.监察和评估内部审计职能在企业整体风险管理系统中的有效性 C.对重大的财务报告事项和判断进行复核 D.在内部审计完成后,依据有关工作目标、已实施审计程序、意见及建议编制审计报告正确答案D答案解析选项D属于内部审计部门的工作。2.甲公司是一家非上市大型企业,正在考虑设立审计委员会。下列各项关于甲公司设立审计委员会的具体方案内容中,
19、不正确的是()。A.在董事会下设立审计委员会B.审计委员会的主要活动之一是核查对外报告规定的遵守情况C.确保充分有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。D.审计委员会应当每两年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告正确答案D答案解析选项D,审计委员会应当每年对其权限及其有效性进行复核,对于人员变更并不是每两年定期报告。3.在上市公司治理实践中,董事会成员中的独立董事经常被视为重要的组成部分。保证独立董事能够行使监督职责的关键因素包括()。A.不在该上市公司担任除独立董事之外的其他职务B.具备财务背景和丰富经验C.薪酬与该上市公司经营业绩挂钩D.
20、与其他上市公司不存在利益关系正确答案A答案解析选项A,独立董事的职责是评价,不能担任其他的职务。4.以下人员中,应当对建立和维持组织的治理程序负责的是()。A.首席审计执行官 B.董事会C.高级经理 D.内部审计师正确答案B答案解析对建立和维持组织的治理程序负责的是董事会。5.以下内容中不属于首席审计执行官的职责的是()。A.将内部审计活动的计划和资源需求报告高级管理层和审计委员会,以便他们审查和批准B.与其他内部或外部的审计和咨询服务提供者进行协调,确保适当的覆盖面,最大限度地减少重复工作C.监督组织风险管理系统的建立、管理和评价D.对管理层是否针对已经报告的重大风险采取了适当的行动进行跟踪
21、检查正确答案C答案解析选项C与首席审计执行官无关。6.董事会、管理层、外部审计师以及内部审计师在创建适当的控制过程中起着重要作用,高级管理层的首要职责是()。A.建立和保持组织文化B.审核财务和经营信息的可靠性和完整性C.确保内、外部审计师有效监督风险管理和控制系统D.实施和监督由董事会设计的控制。正确答案A答案解析选项BCD都是由具体的部门和人员来做的。7.某公司首席审计执行官在对一项合同进行检查时,怀疑供应商在合同招标过程中获得不正当利益。在获知首席执行官是供应商所在公司董事会的成员之后,首席审计执行官应当( )。A.向包括该首席执行官在内的高级管理层提交一份报告草案B.与组织的外部审计师
22、联系以寻求协助C.收集证明材料,向审计委员会的主席报告该审计发现D.立即通知董事会正确答案C答案解析如果企业设立审计委员会的,首席执行官应该向审计委员会报告。如果没有设立审计委员会的,首席审计执行官应当向董事会报告。8.下列内容,属于股东主权模式治理的特点是()。A.公司所有权与控制权相互联系B.公司所有权比较集中C.公司的所有权与控制权较为分散D.公司内部容易形成腐败和拉帮结派正确答案C答案解析选项ABD是共同治理模式下的特点。二、环境和社会保障本部分重要的知识点为:内部审计人员和尊重隐私权。(一)环境管理人类在长期的生产、生活活动过程不可避免的对环境造成影响。一国的严重污染和生态破坏发展到
23、区域性的大范围污染和生态破坏,甚至演化为全球性的环境问题。环境问题也成为全世界面临的重大危机之一。 1.国际环境问题的表现(1)气候变化;(2)臭氧层破坏(耗损)(3)酸雨污染;(4)生物多样性锐减;(5)淡水短缺;(6)森林破坏;(7)荒漠化;(8)海洋污染和破坏;(9)有毒化学品和危险废物越境转移。2.全球范围内的环境管理由于各个国家的法律法规不相同,组织至少须遵循其所在国家的环境、社会法律和要求。通常,组织会采取更严格的方针或政策,以及更严格的国家法律法规或组织的指导方针。(1)关于ISO14000ISO14000是国际标准化组织于1993年,在举世瞩目的联合国环境与发展大会之后,决定开
24、始制定的标准,这是国际标准化组织针对巴西里约环发大会通过的全球21世纪议程和可持续发展战略,而采取的一项具体行动措施。ISO14000系列标准包括环境管理体系、环境审计、环境评价、产品生态标志、产品寿命周期分析和产品具体环境要求等各个方面,是目前世界上最为全面和系统的环境管理的国际化标准。它吸取了世界各国特别是欧洲联盟的英国多年来在环境管理方面的经验,是各ISO成员国对人类可持续发展的贡献和结晶。ISO14000主要由环境方针、规划、实施与运行、检查与纠正措施、管理评审五大要素组成,每个大要素又可分成若干个小要素,构成建立环境管理体系的基本要求。ISO14000系列标准是通用的,既可以应用于制
25、造业,又可用于服务业;既可用于公共部门,又可用于私营部门。它本身并没有规定环境保护的水平,而是指出了环境管理体系的要求。ISO14000系列标准主要关注组织怎样使其活动对环境产生的有害影响最小化,并实现其环境绩效水平的持续提高。ISO14000环境管理系列标准已成为目前世界上最全面和最系统的环境管理国际化标准,并引起世界各国政府、企业界的普遍重视和积极响应。 ISO14000环境管理系列标准(了解)ISO14001:2004环境管理体系规范与使用指南ISO14010:1996环境审核指南通用原则ISO14011:1996环境审核指南一一审核程序一一环境管理体系审核ISO14012:1996环境
26、审核指南一一环境审核员资格要求ISO14020:1998环境标志和声明通用原则ISO14040:1997生命周期分析原则和指南ISO14041:1998生命周期分析目标和范围界定清单分析ISO14050:1998环境管理词汇ISO导则64:1997产品标准中环境因素导则其中,组织依据ISO14001:2004环境管理体系规范与使用指南建立环境管理体系(EMS),并已通过第三方认证机构的认证成为打破国际绿色壁垒、进入欧美市场的准入证,逐渐成为组织进行生产、经营活动及贸易往来的必备条件之一。ISO14000环境管理体系包括以下内容:项高层管理当局所支持的环境政策;环境因素和重大影响的确认;法律要求
27、和其他方面要求的确认;支持环境政策的环境宗旨、目的和目标;一套环境管理方案,作用、职责和权力的定义;培训并了解程序;EMS与所有利益相关者的交流过程;文件和操作控制过程;应急反应程序;监督和测量对环境可能有重大影响的经营活动的程序;纠正不符规定的行为;纪录管理程序;一套审计及纠正措施的方案;管理当局实施检查的程序。ISO14000环境管理系列标准具有以下特点: 强调污染的预防。ISO14000系列标准体现了国际环境保护领域由“末端控制”到“污染预防”的发展趋势。环境管理体系强调对组织的产品、活动、服务中具有或可能具有潜在环境影响的环境因素加以管理,建立严格的操作控制程序,保证企业环境目标的实现
28、。生命周期分析和环境表现评价则将环境方面的考虑纳入产品的最初设计阶段和企业活动的策划过程,为决策提供支持,预防环境污染的发生。这种预防措施更彻底有效、更能对产品发挥影响力,从而带动相关产品和行业的改进、提高。可操作性强。ISO14000系列标准体现了可持续发展的战略思想,将先进的环境管理经验加以提炼浓缩,转化为标准化的、可操作的管理工具和手段。标准中没有绝对量和具体的技术要求,使得各类组织能够根据自身情况适度运用。标准的广泛适用性。ISO14000系列标准应用领域广泛,它适用于任何类型、规模、文化和社会条件下的组织,包括企业、非营利组织和政府部门。其内容涵盖了组织的各个管理层次,各类组织都可以
29、按标准所要求的内容建立并实施环境管理体系。强调自愿性原则。ISO14000系列标准的应用基于自愿原则。国际标准只能转化为各个国家标准而不等同于各国法律法规,不可能强制要求组织实施,组织可以根据自己的经济技术等条件选择采用。【例1】实务工作中,各国政府制定环境标准作为一种保障人体健康、人身、财产安全的标准,属于()。A.强制性标准B.指导性标准C.参照标准D.普遍适用标准正确答案A答案解析由于是由各国的政府制定的标准,相当于是国家的法律法规,所以应该是强制实施的。注:环境标准不同于产品质量标准,环境标准(环境质量标准和污染物排放标准)有其独特的法规属性。环境标准属于技术法规,具有强制性,必须执行
30、。【例2】下列属于ISO14000环境管理系列标准具有的特点是()。A.强调污染的治理B.强制性C.可操作性D.指导性正确答案C答案解析因为ISO14000标准强调的是对污染的预防,故A不对;ISO14000是一种标准,并不是法律,是自愿选择,故B不对;D选项中的指导性并不如C选项的可操作性更明确,故答案选C。 (二)隐私管理很多企业在风险管理方面面临一个极具挑战性的问题,即如何保护客户和雇员的隐私。如今,隐私保护已是一个全球性的议题。大多数企业都认识到良好的隐私控制的重要性。1.概述(1)责任者隐私管理往往是组织风险管理的一部分,其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管
31、理中扮演了更直接的角色。(2)隐私的定义及内容实务公告“评估组织的隐私制度”中规定“隐私的定义根据组织所在国家的文化、政治环境、法律制度存在广泛的差异。相关的风险隐私信息包括:个人隐私(生理体和心理的空间隐私)不受监控沟通隐私(不受监管),信息隐私(通过其他人收集,使用和披露个人信息)”。个人信息通常是指与某个特定个人相关的信息,或能结合其他信息而具备辨识特征的信息。个人信息包括任何实际的或主观推断的信息,不论其是否记载或以何种媒介形式记载。个人信息可能包括:姓名,地址,身份证号,家庭关系;员工档案,评价,意见,社会身份地位或违纪处分;信用记录,收入,经济地位;健康状况。(3)隐私漏洞隐私是个
32、风险管理问题,“保护个人隐私的适当控制的失败会给组织带来严重的后果”。潜在漏洞普遍存在,因为隐私跨越了组织设施的许多方面。组织的网站,网络服务,信息技术系统,数据库,应用,以及与外部服务提供商和第三方的网络联系都构成了隐私问题。国际内审师红皮书实务公告2130.A1-2信息的可靠性和完整性中针对此问题的相关标准:内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。总结:获取任何个人信息都会要求内部审计师遵守关于获取或使用个人信息的法律;内部审计师有能力通过设计保护个人信息的审计程序来避免一些个人信息隐私风险。例如:在某些情况下,内部审计师可以决定不将个人信息写
33、入业务记录”。(4)隐私法律、法规和指南 这些法律往往根据管辖权的不同而不同,应咨询法律顾问,以确保合规性。实务指南“审计隐私风险”指出:良好的治理涉及识别组织的重大风险,例如,潜在个人信息的滥用、泄露和丢失,以及保证适当的控制以减小这些风险。对企业来说,良好的隐私控制的益处包括:保护组织的公共形象和品牌;保护组织的客户和员工的宝贵数据;获取市场竞争优势;遵守适用的隐私保护法律和法规;提高公信力,促进信任和信誉。对公共部门和非营利组织来说,良好的隐私控制的益处包括:维护公民和非公民的信任;通过尊重隐私保持与非营利组织的捐赠者的关系。(5)消费者隐私权的保护隐私权信息交流中心(简称PRC)是一个
34、可以为消费者的隐私提供相关问题帮助的组织。这是一个非营利性消费者组织,为消费者提供信息和消费者权益保护。PRC的目标包括:提高保护个人隐私的警觉意识。提供保护隐私的实用技巧。让消费者采取行动保护自己的个人信息。回应消费者具体的与隐私相关的投诉并酌情提供帮助。将消费者的投诉记录在报告、证词和演讲中,使它们能够引起政策制定者、行业代表、消费者保护团体和媒体的重视。在公共政策程序中倡导保护消费者隐私权,包括立法证词、监管机构听证会、工作小组以及研究委员会。在会议、员工培训以及公民和社区团体会议中倡导保护消费者权益。(6)全球法律和指导许多国家都有隐私法,但也有的国家没有这类法律。由于国家之间的差异,
35、诸如经济合作与发展组织(OECD)一类的机构正在创建个人资料跨界流动的一致性。经济合作与发展组织的“保护隐私和个人资料的跨界流动的指导方针”包括八个核心原则:收集限制:建议限制对个人数据的收集量。提倡数据应当以合法公平的方式获得,并在适当的情况下,取得当事人的了解和赞同。 数据质量:建议个人数据应当与其使用目的相关。提倡数据应当准确、完整和与时俱进。规范目的:提倡应当在收集资料之前列出收集个人资料的目的。建议后续的使用限于满足这些目的或其他兼容的目的。使用限制:主张个人资料的披露(指定目的除外)必须取得当事人的同意和法律的批准。安全保障:促进个人资料的合理保障,减少风险(如丢失或未经授权访问,
36、破坏,使用,修改或曝光)。开放:提倡对于个人资料应当有一个关于发展、实践和政策的开放的总方针。个人参与:提倡资料主体可以以收费方式方便合理地查阅个人资料,提倡数据主体可以对个人资料进行质疑,如果质疑成功,要对数据进行删除、调整、完善和改进。问责制。4.内部审计人员和尊重隐私权(重点)(1)董事会的工作个人信息保护的有效性是组织治理、风险管理和控制程序的一项基本内容,董事会负责识别组织的主要风险并采取适当的控制程序降低风险,包括为组织建立必要的隐私制度并监督其实施。(2)内部审计部门的工作内部审计部门可以通过评估管理层对与隐私目标相关风险识别的适当性,以及把这些风险降低到可接受水平的控制建立的适
37、当性,帮助组织实现良好的治理和风险管理。内部审计师在组织中处于良好位置,能够评估隐私制度、识别重大风险并提出降低风险的适当建议。在指导组织进行隐私制度管理的评估时,实务公告2130.A -2 建议内部审计师考虑以下项目:考虑组织所在管辖范围内的相关法律、法规和 政策。与内部法律顾问联系,确定适用于组织的国家/地区法律、法规和其他标准及实务的确切性质。与信息技术专家联系,确定是否建立了信息安全和数据保护控制,并对其适当性进行定期检查和评估。(3)内部审计在组织的隐私管理中的作用内部审计师可推动隐私方案的制定和实施,评价管理层的隐私风险评估,确定组织的需要和风险暴露情况,或为组织的隐私政策、实务和
38、控制的效果提供确认。注意:如果内部审计师承担了任何制定实施隐私方案的责任,则内部审计师的独立性将受到损害。 (4)内部审计人员被期望的工作内部审计部门应鉴别组织所收集的有可能属于个人或隐私信息的类别和适当性、采用的收集方法、组织对这些信息的使用是否符合原定用途并满足相关法规的要求。在合理范围内,内部审计师通常被期望做如下工作:确认组织收集的信息和其收集方法的类型和适当性;评价组织对这些信息的使用是否符合其原定的用途,是否遵守法律,是否限于信息收集、持有和使用范围;鉴于隐私内容具有很高的技术和法律方面的特性,内部审计部门需要具备适当的知识和能力,以实施组织的隐私制度的风险和控制评估,内部审计师可
39、能必须寻求第三方专家的帮助来评估组织的隐私框架。【例1】在组织的隐私制度评估中,下列哪项内部审计师的哪项做法是合适的()。A.考虑遵循相关的法律法规或标准B.企业隐私优先级控制措施C.评估组织的隐私商业战略D.以上都对正确答案A答案解析因为这里说的是对组织的隐私制度评估,并不是对战略的评估,所以应该是遵循相关法律法规,故选A。【例2】隐私管理的最终责任属于()。A.股东会B.监事会和高管层C.董事会和高管层D.内部审计部门正确答案C答案解析隐私管理往往是组织风险管理的一部分,其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管理中扮演了更直接的角色。所以选C。【例3】公司的内部审计部
40、门在隐私管理中起到了积极的作用,下列各项不属于内部审计部门在隐私管理中的作用的是()A.评价管理层的隐私风险评估B.确认组织的隐私政策、实务和控制的效果C.制定实施隐私方案并提交董事会备案D.确定组织的需要和风险暴露情况 正确答案C答案解析内部审计师可推动隐私方案的制定和实施,评价管理层的隐私风险评估,确定组织的需要和风险暴露情况,或为组织的隐私政策、实务和控制的效果提供确认。C选项会破坏其工作的独立性。三、公司社会责任(一)概述关于公司社会责任正式定义,不同的机构不同。目前国际上普遍认同企业社会理念,公司在创造利润、对股东利益负责的同时,还要承担对员工、对社会和环境的社会责任,包括遵守商业道
41、德、生产安全、职业健康、保护劳动者的合法权益、节约资源等。尽管企业社会责任并没有一个单一的定义,但从本质上,追求这一方法的公司,需要做三件重要事情:第一,公司认识到,其经营活动对其所处的社会将产生很大影响;而社会发展同样也会影响公司追求企业成功的能力;第二,作为响应,公司积极管理其世界范围内的经营活动在经济、社会、环境等方面的影响,不仅使其为公司的业务运作和企业声誉带来好处,而且还使其造福于企业所在地区的社会团体;第三,公司通过与其他群体和组织、地方团体、社会和政府部门进行密切合作,来实现这些利益。如今的世界企业和跨国企业的责任主要有4个层面:经济、法律、道德和慈善。具体讲:营利应符合国际公司
42、的要求;遵守法律,不只遵守东道国的法律,也应遵守国际法;在实践中讲道德,考虑到东道国及世界的标准;做一名良好的公民,特别是要做到东道国期望的那样。(二)社会责任指南(ISO26000,2010年发布)1.社会责任定义通过透明和道德行为,组织为其决策和活动给社会和环境带来的影响承担的责任。这些透明和道德行为有助于可持续发展,包括健康和社会福祉,考虑到利益相关方的期望,符合适用法律并与国际行为规范一致,融入整个组织并践行于其各种关系之中。2.主要内容 ISO26000的主要内容包括:(1)与社会责任有关的术语和定义;(2)与社会责任有关的背景情况;(3)与社会责任有关的原则和实践;(4)社会责任核
43、心主题和问题;(5)社会责任的履行;(6)处理利益相关方问题;(7)社会责任相关信息的沟通。3.理念企业与利益相关者的交易关系是企业履行社会责任的外在表现,企业要向各个利益相关者反映自己的行为,主动积极地提供相关的必要信息,这些信息既要有企业的正面信息还更应该包括企业的负面信息。4.制定意义制定社会责任标准的目的在于谋求持续发展;标准提供了关于社会责任的基本原则、涉及社会责任的核心主题和问题,以及如何将社会责任行为融入现有的组织战略、制度、做法和程序中的指南。本标准鼓励组织采取符合法律的措施,认识符合法律是任何组织的基本义务,也是其社会责任的基本部分;本标准不是管理体系标准,和社会责任管理体系
44、不同,不是用于认证,也不适用于立法或签约。ISO26000国际标准没有把标准写成“要求”的形式,只是以“指南”方式发布,没有强制性的执行规定。(三)社会责任管理体系(SA8000)社会责任管理体系(SA8000)是全球第一个可用于第三方认证的社会责任国际标准。由总部设在纽约的社会责任国际,简称(简称SAI)制定和执行。1.内容它的核心内容是重视劳动者权益。SA8000被视为最广泛应用的工作场所标准,并且能适用于在任何地区和工业部门的任意规模机构。涵盖的领域包括童工、被迫劳工、健康与安全、协会自由与集体谈判、歧视,约束规范、工作时间、补偿和管理体系等。2.宗旨SAI称其宗旨是通过发展和实施社会责
45、任标准,促进工人工作条件的改善和增进劳资双方的理解。SA8000标准认证要求企业在赚钱的同时,也要承担社会责任,对工作环境、员工健康与安全、员工培训、薪酬、工会权利等具体问题,都设有最低标准。(四)公司社会责任报告简称CSR报告) 公司社会责任报告是一个宽泛的概念,也可被称为 “可持续发展报告”、“健康、安全和环境报告”、“社会报告”、“三重底线报告”等等。它是指公司将其履行社会责任的理念、战略、方式方法,其经营活动对经济、环境、社会等领域造成的直接和间接影响、取得的成绩及不足等信息,进行系统的梳理和总结,并向利益相关方进行披露的方式。公司社会责任报告是企业非财务信息披露的重要载体,是公司与利
46、益相关方沟通的重要桥梁。没有统一的格式。面对公司社会责任报告日益增多但又缺乏统一标准的情况,一些国际性非政府组织(NGO)开始着手建立统一的社会责任报告标准,最主要的有三种模式:第一种是“全球报告行动”(GRI)推出的G3报告框架;第二种是“国际社会责任”公布的SA8000标准;第三种是“社会和伦理责任协会”(ISEA)制定的AA1000系列。1.社会责任收益关心自然环境是社会责任的一项重要内容,公司在配置资源时必须加以考虑。但为了遵守环境保护法,公司每年要花费一定的费用。关注社会责任最终会提高公司长期生存的机会。仅仅狭隘地关注产品或服务的利润,而不考虑公司行为的后果,可能会削弱公司的长期业绩,最终导致公司被淘汰出局。事实上,社会责任会对公司绩效产生积极影响。研究表明,承担社会责任可以提高企业的财务绩效,并吸引更优秀的应聘者。当一家公司的高层管理者持有的社会责任观与重要的利益相关群体(例如:环保主义者、消费者以及政府等)的目标一致时,这个利益相关群体可能会做出回报,影响群体中的成员去支持公司的产品。2.社会责任成本承担社会责任有两个最基本的方面:第一,避免非法和不道德的行为,如种族歧视、性骚扰、环境污染和逃税。作为公司伦理结构的组成部分,上述负面行为都应该避免。第二,其他与社会责任有关的行为产生的成本。因为公司要花钱支付有利于社会的行为,例如参
浙ICP备2021020529号-1 | 浙B2-20240490 
